您当前位置:首页 > 资讯中心 > 信息安全

阿里安全技术平台资深专家玄泰解密:“如何防止信息泄露”

关键字:阿里安全,技术平台,资深,专家,玄泰,解密,如何防止信息泄露

近年来,大规模的个人信息泄漏事件不断发生,由此引发的精准诈骗也经常被媒体报道。有着庞大用户群体和海量交易的阿里巴巴却能独善其身,这背后有什么独门秘籍呢?当我们表明来意时,阿里安全技术平台资深专家玄泰反复提到“御城河”三个字。

“我们的秘密武器就是御城河。”玄泰沉吟片刻,“它是阿里巴巴独创的数据风险防控体系,围绕着数据在整个阿里生态的流转链路,从数据风险的预防、发现、定位、处置,再到更深层次的立体感知和溯源,形成了一套完备的数据安全解决方案。它向所有阿里生态伙伴开放,覆盖整个电商生态。”

为了强化我们对御城河的理解和感受,玄泰出示了一组惊人的数据。

据玄泰介绍,目前,御城河保护数几百万商家的几千万台终端,1000多家核心服务商的几千个应用,以及主流物流公司的10余万个网点,实时检测系统、应用、账号等30多个维度的数据访问风险。在2017天猫双11当天,御城河进行风险检测就超过65亿次,发现主机、访问、木马等风险1万多个,拦截账号、主机等风险数万个。

何谓“御城河”?

不得不说,阿里安全的工程师还是很会取名字的。御城河,从字面上就有一种高大上的感觉,而且基本一看就能够揣测其意。但它究竟是什么呢?玄泰为我们揭开了这个谜底。

“以订单信息为例,用户在平台购物下单后,会进入复杂的订单处理流程。在一个典型的场景中,订单会首先进入商家订购的三方软件开发商的ERP处理系统,经过处理后传输到商家的仓储WMS系统,再然后对接到物流公司的物流系统。同时商品上也会有打印出来的收货信息,货物经过物流公司的多次转运,较后由快递员送到用户手中。”

“可以看到,数据就像河流一样错综复杂地流过各个生态伙伴的数据使用节点,这些节点就像是城池,也是是黑灰产时刻窥视的攻击目标。御城河取其意,像护城河一样守护这些城池,防止城池中的数据被非法窃取。”

“御城河体系就是基于整个数据链路中的风险来设计的。首先,是风险预防,加高各个城池的城墙。对容易出现的风险点进行加固,涉及服务端的防御、前端的防御、客户端防御等方面。比如服务器防入侵、应用保护、客户端防护、账号保护等等;”

“随之是风险发现,在城池上安装了全方位的视频监控系统。御城河有一套基于大数据的智能风控模型,对每个核心数据流通环节进行风险建模,识别核心数据的访问风险;。”

“之后是对异常或风险进行定位和处置。比如风险原因、影响范围等等;定位之后需要进行处置,即怎么将这些风险消化掉。方式可能会有很多种。比如说,直接线上自动处置掉,也有可能是人工介入处理等等,需要根据不同的风险状态进行决策;”

“再深层次的,就是对整个全局的风险和异常的感知。这一阶段往往是对未来可能发生的风险进行预测。这一系列都是通过御城河在各个链路的产品能力实现的。”

玄泰告诉我们,御城河经过演进,目前已经研发出针对不同行业的多个版本,包括服务商版、商家版、物流版、跨境版、通用版以及针对特殊业务或架构而定制的版本。

事实上,御城河之所以诞生,是为了使命而来,而这个使命就是为了数据安全,其中以防止信息泄露为重。玄泰认为,信息泄露并不能被认为是某种风险,而是由各种风险引发或导致的结果。“比如,服务器被入侵,导致数据被窃取。或者,账号被盗后被别人用来偷了数据。也有可能是,内鬼将自己能够接触到的数据拿去贩卖等等,这些都是导致信息泄露的风险点。”玄泰说。

因此,阿里安全的工程师针对信息泄露的问题进行回溯,去分析、覆盖所有可能的风险。以帮助阿里经济体的生态伙伴进行风险防控。这其中包括端的对抗、后端的漏洞检测修复、运行环境的安全等等,几乎从较底层的系统到应用,再到设备、账号等,均会进行保护。

在玄泰看来,这条链路上的任何一个点出问题,都有可能导致信息泄露,因此,必须实现无缝覆盖。

“御城河”诞生记

既然这么牛,那么御城河是怎么诞生的呢?玄泰娓娓道来。

2013年以前阿里巴巴集团就开始做信息泄露防控,而“御城河”这套体系化的防控体系则始于2014年,而负责这套系统的团队——生态安全也成立于2014年。

“那时候对于怎么解决开放场景下的数据安全问题,没有现成的经验可以借鉴,也没有看到解决这类问题的产品。很多是遇到问题就去解决,偏事后,我们也逐步摸索,希望可以更加系统、智能地去做数据安全。我们做了大量的创新,实现了通过流量和主机层行为的关联分析,发现可疑的入侵行为。提出利用大数据驱动的行为分析技术来监测和定位风险,并将能力SaaS化,供所有生态伙伴使用。在这个过程中,团队申请了6个技术专利。”玄泰说。

到2015年开始,玄泰和他的团队逐步摸索出了一个完整的产品体系。并在2015年年中,对御城河产品体系进行轻量级升级,对生态伙伴则采用全新的方式进行系统安全升级。“很快,年中的时候就把御城河武装到了大半的淘系订单数据链路。”玄泰说。

那么,按照“轻装上阵”的思路开发出来的系统实战效果如何呢?

“哐”,玄泰用了这个非常形象的词来形容全新系统的功效。“我们能看到用户的投诉就‘哐’地往下掉,直线往下掉。而且掉下来之后,就再也没有反弹。”玄泰的言语中透露出一丝自豪。

新系统完全展现了新的开发思路,提供优化后的轻量级产品,建立规范,帮生态伙伴进行基础的安全建设,较为重要的是,生态伙伴一旦有风险,系统马上就能实时发现,而且能够即时找到问题所在。

“如同警察抓小偷一样,只要小偷一伸手就会被抓到,而平常根本没有发现警察出现,用户也没有感知。这种模式非常的轻,而且我们把很多的产品都拆解得更细,不再像过去那样,只能一整套全部使用,可以单独地用。”玄泰的语气中充满是自豪。

然而,这仅仅是个开始。

服务商、商家、物流全链路的保护

据玄泰介绍,2014-2015年,生态安全团队主要集中在做服务商的治理。慢慢地,玄泰和他的团队基本完成了服务商的治理。淘系电商每天经过服务商应用的订单中,98%经过御城河。而且御城河接入的成本大大降低,一般的接入仅需很短时间即可完成。

“2015年随着御城河在服务商领域的大范围使用,针对服务商的投诉占比从绝对数几乎降到了较低。”玄泰说。

但是,在解决服务商的问题之后,商家的问题又出来了。

据介绍,商家的信息泄露主要由几大类风险引发。较早个,商家的正常的客服被黑产收买;第二个,黑产人员经过培训后,应聘到商家,获取权限之后窃取数据;第三个,一些商家是传统企业转型而来,拥有多年来自己开发使用的系统,并且是单独部署的,安全往往比较薄弱。

2016年,阿里安全发布了御城河商家版,免费提供给卖家使用。“我们的系统有非常强的风险发现能力,在发现风险之后,可以实时处置。”玄泰说,“这些风险我们会进行等级划分,不同等级的风险处置方式也会不一样。”

好了,除了服务商和商家的问题,物流商也是一大领域。

“物流产业非常庞大也更为复杂,一开始的时候甚至不知道到底有多少问题。”玄泰说。于是,同年,御城河的物流版上线了。

相较于商家来说,快递公司的数量要少得多,全国范围来看,数得上名的大概也就几十家,但网点、从业人员可以说是非常庞大。但是有了服务商的治理经验,生态安全团队并没有急于一拥而上,而是有自己的策略。这个策略就是,先覆盖快递商,并将主要的精力放在较TOP的快递商上。

“今年我们就花了比较多的精力在快递行业的治理。今年御城河已经和大部分的快递展开合作并且取得了很好的效果。”玄泰说,“接下去,我们的目标就是物流的其他方面,包括仓储和配送。”

“把日常做成双11,把双11做成日常”

对于今年的双11,玄泰坦言,他能讲的东西并不多。

2014年,生态安全团队成立,那一年的双11也是由玄泰负责相关的工作。“那一年的双11从 8月份就开始准备安全预案,当时做得很痛苦。”玄泰说。也就是自那时起,玄泰和他的团队作出了一个决定。

“用2-3年的时间,把日常做成双11,把双11做成日常。”

正是基于这样的决心并落地实施。2016年双11和2017年双11,生态安全团队都感觉“轻松写意”,甚至在2016年双11的时候打算不值班了!“未来希望每年双十一都能喝着茶然后买买买”。

但较终,2016年双11,御城河顺利扛过系统压力。因为系统实现了三个“0”,即“0故障、0降级、0事件”,要知道,这是在那么大订单量的情况下获得的荣誉。

而2017年双11,御城河同样达成了三个“0”这一结果。

“御城河在技术上也是蛮有意思的,我们从14年底开始发布,一直到目前为止,我们只出现了一个P4故障。所有的质量保证,研发阶段就搞定。”玄泰说。

通常来说,在阿里,P4故障都是不记录的。这么牛,是怎么保证的?

在玄泰看来,研发保障质量,这是他对自己团队的要求。“研发还是比较牛的。所有的东西要求他们自己去保障,所以,质量方面、稳定性方面还算是不错的。”玄泰給予自己的小伙伴们极高的评价。

“今年双11值班了,但其实状态相对轻松。”当我们较后想要试图挖出一些料的时候,玄泰淡淡地说。




 

大势至局域网上网控制软件、电脑机密文件防泄密软件、服务器共享权限设置软件列表!
 

大势至公司是国内较早从事上网行为管理软件、电脑文件防泄密系统、服务器共享文件权限管理软件研发的厂家,目前公司旗下核心产品涵盖了从网络监控软件到信息安全防护软件和商业机密防泄密软件等领域,可以为企业提供整体的、一站式网络管理解决方案。


一、大势至USB端口禁用软件(电脑文件防泄密系统)(点击详细了解:http://www.grabsun.com/monitorusb.html
 
一款专门禁用U口、禁用USB端口的软件,可以有效屏蔽U盘、屏蔽USB存储设备的使用;同时还可以只让使用某些U盘,只让从U盘向电脑复制文件而禁止从电脑向U盘复制文件,或者必须输入密码才可以向U盘复制文件;同时,还可以禁止电脑发邮件(只让登录公司邮箱)、禁止网盘上传文件、禁止FTP文件上传、禁止QQ发送文件以及禁止FTP文件上传,防止各种途径泄密;此外,本系统还可以禁止蓝牙、禁止无线网卡使用、禁用随身wifi等,防止网络不适当扩展。如下图所示:
 
 
 
图:大势至电脑文件防泄密系统
 
二、大势至共享文件权限管理软件(点击详细了解:http://www.grabsun.com/gongxiangwenjianshenji.html
 
一款专门的局域网共享文件管理软件、共享权限设置软件,只需要在共享文件服务器上安装之后,就可以设置服务器共享文件权限,可以只让修改共享文件而禁止删除共享文件、只让读取共享文件而禁止拷贝共享文件、只让打开共享文件而禁止另存为本地磁盘,以及禁止拖动共享文件以及禁止打印共享文件等,全面保护共享文件的安全。此外,本系统还可以详细记录服务器共享文件访问日志记录,便于管理员事后备查和审计。如下图所示:

 
 
图:大势至共享文件权限管理软件
 
 
三、大势至局域网接入控制系统(点击详细了解:http://www.grabsun.com/wailaidiannaokongzhi.html
 
一款专门的局域网网络准入控制系统,基于B/S架构,只需要在局域网一台电脑安装,就可以控制外部电脑、手机和平板电脑接入,防止外来移动设备访问局域网共享文件、禁止外来移动设备接入wifi上网、进行IP和MAC地址绑定,同时防止局域网ARP攻击,禁止局域网代理上网,检测局域网混杂网卡,防止网络嗅探和网络抓包等,全面保护局域网网络安全。如下图所示:
 
 
图:大势至网络准入控制系统

 
四、聚生网管局域网流量监控软件(点击详细了解:http://www.grabsun.com/wangguan.html
 
是一款面向企事业单位的网络监控软件、局域网限速管理软件,只需要在局域网一台电脑部署,就可以扫描到局域网所有电脑,并可以看到所有电脑的带宽流量,可以实时限制电脑网速、分配网络带宽,屏蔽网页视频、屏蔽股票软件、禁止电脑玩游戏、屏蔽网页游戏、禁止局域网下载、禁止迅雷下载以及禁止无线路由器接入、禁止手机连接wifi等。此外,还可以控制网页浏览、禁止电脑上网等,提供全方位的上网行为管理管理。如下图所示:
 
 
 
图1:聚生网管局域网限速软件
 
 
图:聚生网管局域网带宽分配软件
 


图:聚生网管禁止电脑上网、网页浏览控制功能
 

此外,大势至公司凭借在上网行为过滤、数据防泄漏领域多年的技术积累,以及公司强大的研发实力,可以实时为用户定制开发各种网络安全管理、信息安全防泄密功能,可以为企业提供个性化的、实时的局域网上网管理和信息安全过滤功能,真正帮助企事业单位实现局域网网络行为控制的目的。


 
作者:Grabsun - 发布时间:2017-12-15 - 点击量:2817
公司简介:大势至公司是国内较早的企业网管软件提供商,可以为企事业单位提供整体的企业网络管理方案和企业网络管理平台,通过全系列的公司监控员工电脑软件教你如何控制员工上网、如何控制局域网内电脑上网以及如何保护电脑文件安全等。公司核心产品“聚生网管系统”是一款专门的公司网管必备软件、查看网络流量软件、网络流量监控软件和办公室电脑监控软件;“网络特警”则是一款专门的网络流量监控设备、上网行为管理服务器、网络行为管理设备,可以实现更为强大的局域网网络行为管理;大势至USB接口禁用软件则是一款专门的数据防泄密产品、屏蔽U盘软件、电脑USB端口禁用软件,可以严防通过一切途径泄露电脑文件,保护单位无形资产和商业机密安全;大势至共享文件夹管理软件则是一款专门的共享文件权限设置软件和共享文件设置密码软件,全面保护共享文件安全;大势至共享文件审计系统则是一款专门的服务器共享文件夹设置软件、服务器共享文件访问日志记录软件,可以详细记录局域网用户访问共享文件的行为,更好地管理共享文件的安全;大势至局域网网络准入控制系统则是一款专门防止未经授权的电脑接入公司局域网的行为,防止外来电脑访问局域网共享文件、防止蹭网以及绑定IP和MAC地址,保护网络安全;大势至FTP服务器日志记录软件则是一款专门记录局域网用户访问FTP服务器日志的软件,可以有效保护FTP服务器文件安全。
收缩

售前咨询

  • 电话:010-82825512
  • 电话:010-82825051
  • 电话:010-82825052
  • 电话:010-62656060

技术支持

  • 电话:010-82825062